Ubuntu Weekly Topics

2018年11月2日号 Spectre v2対策 “Enhanced IBRS”のマージ,IBMによるRed Hat買収に関するMark Shutleworthからのステートメント

この記事を読むのに必要な時間:およそ 3 分

Spectre v2対策 “Enhanced IBRS”のマージ

2018年初頭に業界を混乱に追い込んだ,⁠Spectre」脆弱性への,新しいアプローチがUbuntuに搭載されようとしています。通称,⁠Enhanced IBRS⁠または⁠IBRS Always On⁠と呼ばれるこの実装は,Intel製の最新世代のプロセッサにハードウェア的に実装された,パフォーマンスペナルティが小さく注1かつ複雑な実装を必要とせず,プロセッサのセキュリティ機能を犠牲にすることのない注2)⁠新世代のSpectre Variant 2を回避するための機能です。この更新が適用されたカーネルを使い,Full IBRSを利用できる世代のプロセッサを併用することで,既知のSpectre Variant 2の影響を遮断できます注3)⁠

なお,この機能を現実的に利用するには,2018年末(以降)にリリースされるであろう⁠Cascade Lake⁠また⁠Gemini Lake+⁠(GLK+)以降のハードウェアが必須であり,⁠今動いているハードウェア」で利用されるシナリオはない(かつ,14.04 LTS世代のカーネルにバックポートするには相当な作業が必要になる)ことから,14.04 LTSへのバックポートは行わないという決断が行われています。

注1
IBRSは非常にパフォーマンスペナルティが大きく,システムパフォーマンスそのものを大きく削いでしまう欠点がありました。2018年1月から2月にかけて,常時IBRSを利用する「Full IBRS」と呼ばれる実装が開発されたものの,これを利用するには許容できないパフォーマンス劣化が見られたため,Retpolineを併用しつつ「何をどうやってもIBRSでしか保護できない」特定のコンテキストに限ってIBRSを利用する,⁠Pinpoint IBRS⁠などと呼ばれる実装が採用されています。Enhanced IBRSはハードウェアに実装された(これまでのプロセッサに比べると非常にコストの小さい)IBRS機能により,無視できるレベルにパフォーマンスペナルティを抑制した実装となります。
注2
当初副作用の少ない実装とみられていたRetpolineは,IntelのWhitepaperによればCETによる保護とコンフリクトしうる問題がある(CETがRetpolineをROP攻撃と誤認してしまうのでCETをオフにしないといけないことがある→これによりCETげ防げたROP攻撃を防ぎきれなくなるケースがある→ROP攻撃が可能になるので,ASLRを迂回しうる→マルウェアのたぐいにとってはアドレス予測性が向上することを意味するので,バッファオーバーラン等の攻撃が通用するシチュエーション誕生,というメカニズムが生じます)ため,ベストな実装ではない,ハードウェア実装を伴うもののEnhanced IBRSを使うべきである,というのがIntelの主張です。この注の説明が不明な場合は「要するにRetpolineだと他のところに攻撃の余地が生まれることがあった(ので,徹底的なセキュリティ保持のためには不適だった)⁠ということだけ把握すれば問題ありません。気になる場合はWhitepaperに概要の説明があります。
注3
そしてCETを有効にできるので,ROP攻撃も防げます。

その他のニュース

  • @msdev(⁠Microsoft Developer」という名前のMicrosoft公式アカウント)による,⁠Ubuntu 18.04をWindows 10上で使うためのTips」へ誘導するツイート。Hyper-VによるUbuntu 18.04環境のガイドです。これを,開発者向けとはいえMicrosoft公式アカウントが示すというあたり,もはやBug#1は完全に過去のものになったと言えるでしょう。
  • IBMによるRed Hat買収に関するMark Shutleworthからのステートメント。全体のメッセージとしては,⁠We are determined that Ubuntu is judged as the world⁠s most secure, most cost-effective and most faithful vehicle for open source initiatives.」⁠参考訳:我々はUbuntuこそが世界でもっともセキュアで,コスト効率がよく,そして信頼に足るオープンソース主導の世界へ向かうバスであると確信している)といった力強いメッセージとともに,この2社の連携による価値と,それによる市場の開拓を歓迎する,という方向のものとなっています注4)⁠
  • Ubuntu 19.04はDisco Dingoであろうという記事。現時点でまだ公式発表はないので,今後変更になる可能性がある点に注意してください。LP上のエントリも存在するため,⁠ほぼ」決まりというステートではあるものの,オフィシャルなアナウンスよりも前の段階で何かを信じるべきではありません。
注4
歓迎ムードの一方で,そもそも先頭行が「Over the past two years, many prominent Red Hat customers have selected Ubuntu and engaged Canonical to build leaner, more efficient open source infrastructure and solutions for important new initiatives.」⁠過去2年ほどにおいて,多くのRed Hatの著名なカスタマーがUbuntuを選択し,Canonicalに連絡を取ってきた。より無駄の少ない,効率のよいオープンソースインフラストラクチャーやソリューションを使って,新しい流れを制するためだ)といった文で始まっており,さらに「Public cloud workloads have largely avoided RHEL. Container workloads even more so.」⁠パブリッククラウドのワークロードではRHELはたいていは避けられている。コンテナワークロードもそうだ)といった,⁠Ubuntuのほうが強い」というメッセージも織り交ぜられており,⁠株主対策」⁠顧客がIBM/RHELに逃げ出さないように牽制」というか,もはや檄文のたぐいに近い色の付いたものとなっています。原文は(非英語話者が読むのに苦労しがちな美麗な英文を書くMarkにしては驚愕するレベルで)平易な表現に徹しているので,英語の勉強がてら読んでみることをお勧めします。

今週のセキュリティアップデート

usn-3788-2:Tex Live-binのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-October/004635.html
  • Ubuntu 18.10用のアップデータがリリースされています。CVE-2018-17407を修正します。
  • usn-3788-1のUbuntu 18.10用パッケージです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3799-1:MySQLのセキュリティアップデート
usn-3800-1:audiofileのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-October/004637.html
  • Ubuntu 14.04 LTS用のアップデータがリリースされています。CVE-2018-13440, CVE-2018-17095を修正します。
  • 悪意ある加工を施したファイルを処理させることで,任意のコードの実行・DoSを誘発することが可能でした。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。
usn-3801-1:Firefoxのセキュリティアップデート
usn-3802-1:X.Org X serverのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-October/004639.html
  • Ubuntu 18.10・18.04 LTS・16.04 LTS用のアップデータがリリースされています。CVE-2018-14665を修正します。
  • ラッパースクリプトの権限チェックが適切に行われていないため,権限昇格やファイルの上書きのために悪用することが可能でした。
  • 対処方法:アップデータを適用の上,システムを再起動してください。
usn-3799-2:MySQLのセキュリティアップデート
  • https://lists.ubuntu.com/archives/ubuntu-security-announce/2018-October/004640.html
  • Ubuntu 12.04 ESM用のアップデータがリリースされています。CVE-2018-3133, CVE-2018-3174, CVE-2018-3282を修正します。
  • usn-3799-1のUbuntu 12.04 ESM用パッケージです。
  • 対処方法:通常の場合,アップデータを適用することで問題を解決できます。

著者プロフィール

吉田史(よしだふみひと)

システム管理を中心にWindows/PC Unixを併用している。Ubuntu Japanese Teamではパッケージサーバの管理や翻訳などの作業を担当。

バックナンバー

Ubuntu Weekly Topics

バックナンバー一覧

コメント

コメントの記入